Sanctions CNIL AI Act 2026 : quelles sont les attendues pour les PME françaises?

Q: Quel est le délai pour répondre aux demandes de la CNIL?

Les PME ont 3 mois pour répondre aux demandes de la CNIL (article 60 du RGPD). Passé ce délai, la CNIL peut imposer des sanctions administratives. Il est crucial de documenter toutes les réponses et actions entreprises.

Q: Quels sont les facteurs déterminants pour le montant des amendes?

Le montant des amendes est déterminé par plusieurs facteurs : gravité de l'infraction, impact sur les droits des personnes, chiffre d'affaires mondial, et coopération avec l'autorité de contrôle. La CNIL publie des avis types pour guider les sanctions.

Q: Dois-je m'inscrire au registre de l'AI Act si je suis PME?

Oui, si vous utilisez des systèmes d'IA de haut risque. L'inscription est obligatoire pour tous les opérateurs, y compris les PME (article 66 de l'AI Act). Le registre permet aux citoyens de connaître les systèmes d'IA utilisés.

Q: Quelles sont les sanctions pour les dirigeants en cas de non-conformité?

Les dirigeants peuvent faire l'objet de poursuites pénales pour non-respect des obligations de sécurité (code pénal art. 442-1). Les amendes individuelles peuvent atteindre 2 millions d'euros, et des peines d'emprisonnement jusqu'à 3 ans en cas de récidive.

Q: Existe-t-il des aides pour les PME pour se conformer?

Oui, la CNIL propose des guides gratuits et des audits simplifiés pour les PME. L'AI Act Service Desk offre une assistance technique. De plus, l'ISO 42001:2023 propose des certifications adaptées aux PME avec des coûts réduits.

L'essentiel en 30 secondes - Les amendes peuvent atteindre 7 % du chiffre d'affaires mondial ou 35 M€ selon l'Article 99 du Règlement (UE) 2024/1689 - La CNIL est désignée autorité de surveillance du marché en France pour plusieurs catégories de systèmes IA à haut risque - Les PME disposent d'un délai légal pour répondre aux demandes de la CNIL, encadré par le RGPD et la loi Informatique et Libertés - Les sanctions sont proportionnées à la gravité, à la durée de l'infraction et à la taille de l'entreprise (Art. 99 §7 AI Act) - La documentation de conformité doit être prête avant l'entrée en application des obligations haut risque (août 2026) - Les sanctions pénales en France relèvent du Code pénal et de la loi n°78-17 du 6 janvier 1978 modifiée

1. Contexte juridique : AI Act et rôle de la CNIL

Le Règlement (UE) 2024/1689 du 13 juin 2024, dit AI Act, est entré en vigueur le 1ᵉʳ août 2024. Son application se fait par paliers. Les obligations sur les pratiques interdites (Art. 5) s'appliquent depuis le 2 février 2025. Les règles sur les modèles d'IA à usage général (GPAI) s'appliquent depuis le 2 août 2025. Le régime complet des systèmes à haut risque s'applique à partir du 2 août 2026.

La Commission nationale de l'informatique et des libertés (CNIL) est désignée par la France comme autorité compétente pour plusieurs catégories de systèmes d'IA à haut risque, notamment ceux liés au traitement de données personnelles. Cette désignation s'appuie sur l'Article 70 du Règlement (UE) 2024/1689, qui impose à chaque État membre de nommer au moins une autorité notifiante et une autorité de surveillance du marché.

Les PME françaises de 10 à 250 salariés sont concernées dès qu'elles déploient, fournissent ou distribuent un système d'IA entrant dans le périmètre du Règlement. Le statut de « déployeur » (deployer, Art. 3 §4) est particulièrement large : il couvre tout utilisateur professionnel d'un système IA, y compris une PME qui intègre un outil de tri de CV, un chatbot client, ou un dispositif d'analyse vidéo.

Pour comprendre le périmètre global d'application aux PME, consultez notre guide pillar AI Act PME France.

2. Amendes administratives : montants et conditions

L'Article 99 du Règlement (UE) 2024/1689 organise un régime de sanctions à trois niveaux. Les montants sont calculés selon le plus élevé entre un plafond fixe en euros et un pourcentage du chiffre d'affaires annuel mondial total de l'exercice précédent.

Tableau récapitulatif des plafonds d'amendes (Art. 99 AI Act)

Type d'infraction	Plafond fixe	% CA mondial	Base juridique
Pratiques interdites (Art. 5)	35 M€	7 %	Art. 99 §3
Manquement obligations haut risque, transparence, GPAI	15 M€	3 %	Art. 99 §4
Informations inexactes aux autorités	7,5 M€	1 %	Art. 99 §5

Pour les PME et start-ups, l'Art. 99 §6 prévoit une règle spécifique : le montant retenu est le plus bas entre le pourcentage et le plafond fixe, et non le plus élevé. Cette nuance protège partiellement les petites structures, mais ne supprime pas le risque financier.

Les infractions les plus fréquemment relevées dans les premières enquêtes européennes portent sur :

L'absence de documentation technique exigée par l'Annexe IV
Le défaut d'analyse d'impact sur les droits fondamentaux (FRIA) requise par l'Art. 27 du Règlement (UE) 2024/1689
L'absence de désignation d'une personne responsable de la surveillance humaine (Art. 14)
Le défaut d'enregistrement dans la base de données UE prévue à l'Art. 71

Notre analyse détaillée des sanctions financières propose un calculateur d'exposition adapté aux PME.

Évaluez votre exposition en 10 minutes

Notre formulaire diagnostic identifie vos systèmes IA à risque et chiffre votre exposition réglementaire selon l'Article 99.

Lancer le diagnostic gratuit

3. Sanctions pénales : responsabilités des dirigeants

L'AI Act ne crée pas directement de sanctions pénales : il renvoie au droit national. En France, plusieurs dispositifs préexistants peuvent s'appliquer en complément des amendes administratives.

La loi n°78-17 du 6 janvier 1978 (loi Informatique et Libertés) prévoit dans ses articles 226-16 à 226-24 du Code pénal des peines pouvant aller jusqu'à 5 ans d'emprisonnement et 300 000 € d'amende pour les personnes physiques en cas de traitement illicite de données personnelles. Lorsqu'un système d'IA traite des données personnelles en violation du RGPD, ces dispositions s'appliquent.

L'Article 223-1 du Code pénal (mise en danger délibérée d'autrui) peut être mobilisé si un système IA à haut risque cause un préjudice corporel par défaut de surveillance humaine.

Les dirigeants de PME sont exposés à plusieurs titres :

Responsabilité personnelle de la personne physique en cas de faute caractérisée
Responsabilité de la personne morale (Art. 121-2 Code pénal), avec amendes multipliées par 5
Interdiction d'exercer une fonction de direction (Art. 131-27 Code pénal) en cas de récidive

L'obligation de culture IA prévue à l'Art. 4 du Règlement (UE) 2024/1689 impose au dirigeant de garantir un niveau suffisant de connaissances chez ses équipes. Un défaut de formation documenté peut constituer un élément à charge en cas d'incident.

4. Mesures de correction : obligations des PME

Au-delà des amendes, la CNIL et les autres autorités de surveillance disposent de pouvoirs d'injonction. L'Art. 99 §1 du Règlement (UE) 2024/1689 mentionne explicitement les « mesures correctives » que peuvent ordonner les autorités nationales.

Tableau des mesures correctives disponibles

Mesure	Effet	Base juridique
Mise en conformité sous délai	Obligation de corriger les non-conformités identifiées	Art. 79 AI Act
Retrait du marché	Interdiction de commercialisation	Art. 79 §5 AI Act
Rappel du système	Reprise auprès des utilisateurs	Art. 79 §5 AI Act
Restriction d'usage	Limitation à certains contextes	Art. 79 §3 AI Act
Astreinte journalière	Pression financière en cas de non-respect	Art. 83 loi 78-17

Sur le volet RGPD, la CNIL peut imposer des mises en demeure publiques, des limitations temporaires de traitement, voire la suspension complète d'un système IA traitant des données personnelles. Le délai de réponse d'une PME à une demande de la CNIL est généralement encadré, et les modalités précises figurent dans la notification reçue.

La coopération entre autorités est organisée par l'Article 60 du RGPD pour le mécanisme de guichet unique transfrontalier. Pour les questions purement IA Act, l'Art. 74 du Règlement (UE) 2024/1689 organise la coordination entre autorités nationales.

Le coût moyen de mise en conformité d'une PME varie fortement selon la nature des systèmes IA déployés et le degré de structuration préalable de la gouvernance données. Les études disponibles à ce jour restent indicatives [à vérifier selon votre cas].

5. Facteurs aggravants et atténuants

L'Art. 99 §7 du Règlement (UE) 2024/1689 énumère les critères que doivent prendre en compte les autorités nationales lors de la fixation du montant d'une sanction. Cette liste est essentielle pour comprendre la marge d'appréciation de la CNIL.

Facteurs pris en compte par l'Art. 99 §7

Catégorie	Éléments concrets
Nature et gravité	Type d'infraction, durée, ampleur, nombre de personnes affectées
Intentionnalité	Caractère délibéré ou résultant d'une négligence
Coopération	Niveau d'aide apporté à l'autorité pour corriger
Antécédents	Sanctions antérieures pour des infractions similaires
Mesures correctrices	Actions prises pour atténuer le dommage
Bénéfices financiers	Gains tirés directement ou indirectement de l'infraction
Taille de l'opérateur	Statut PME, start-up, microentreprise

Cette grille rejoint celle déjà appliquée par la CNIL en matière RGPD depuis 2018. Les lignes directrices 04/2022 du Comité européen de la protection des données (CEPD) sur le calcul des amendes RGPD constituent une référence transposable dans une large mesure.

Les circonstances atténuantes les plus efficaces observées dans la pratique CNIL sont : auto-déclaration d'incident, programme de conformité documenté antérieur à l'enquête, désignation d'un référent IA opérationnel, formation des équipes attestée.

Les circonstances aggravantes récurrentes sont : refus de coopération, dissimulation de pièces, traitement de données sensibles (Art. 9 RGPD) sans base juridique, impact sur des publics vulnérables, atteinte aux droits fondamentaux.

Préparez votre dossier de conformité

Le pack documentaire regulia fournit les modèles de FRIA, registres et procédures attendus par la CNIL pour démontrer votre bonne foi.

Découvrir le pack

6. Obligations spécifiques pour les PME

Le Règlement (UE) 2024/1689 introduit plusieurs allègements pour les PME et start-ups, principalement aux Art. 62 et 63. Ces allègements ne suppriment pas les obligations de fond, mais adaptent les modalités de mise en œuvre.

Allègements prévus par l'Art. 62 et 63

Accès prioritaire aux bacs à sable réglementaires (Art. 57-62) — environnements contrôlés pour tester des systèmes IA innovants
Documentation technique simplifiée lorsque les conditions de l'Art. 11 §1 sont remplies, via un formulaire allégé que la Commission doit publier
Communication adaptée des informations relatives à la mise en œuvre
Frais réduits d'évaluation de conformité pour les organismes notifiés
Sensibilisation et formation prioritaires fournies par les autorités nationales

L'obligation de culture IA (Art. 4) impose à tout opérateur, y compris une PME, de veiller à ce que son personnel disposant d'une responsabilité opérationnelle sur des systèmes IA dispose d'un niveau suffisant de littératie. Cette obligation est en vigueur depuis le 2 février 2025.

Pour les systèmes à risque limité (Art. 50), les obligations se concentrent sur la transparence : informer clairement les utilisateurs qu'ils interagissent avec une IA, étiqueter les contenus générés artificiellement, signaler les hypertrucages.

Les systèmes à risque minimal ne sont pas soumis à des obligations spécifiques au-delà du respect du droit commun (RGPD, droit de la consommation, droit du travail). Consultez notre glossaire des catégories de risque pour une classification détaillée.

7. Outils et ressources pour les PME

Plusieurs ressources publiques gratuites permettent à une PME de structurer sa démarche de conformité sans recourir immédiatement à un accompagnement payant.

Ressources institutionnelles disponibles

Ressource	Source	Usage recommandé
Fiches pratiques IA	CNIL (cnil.fr)	Comprendre l'articulation RGPD-IA
AI Act Service Desk	Commission européenne	Questions opérationnelles sur le Règlement
Texte consolidé	EUR-Lex	Source juridique de référence
Code de bonnes pratiques GPAI	AI Office	Pour les fournisseurs de modèles
ISO/IEC 42001:2023	ISO	Système de management de l'IA
ISO/IEC 23894:2023	ISO	Gestion des risques IA
Guide Cigref janvier 2025	Cigref	Vision DSI grandes entreprises transposable
Guide Numeum mars 2025	Numeum	Éditeurs et intégrateurs

La norme ISO/IEC 42001:2023 établit les exigences d'un système de management de l'IA. Elle constitue un cadre volontaire mais sa mise en œuvre facilite considérablement la démonstration de conformité à l'AI Act, notamment sur les volets gouvernance, gestion des risques et amélioration continue.

La norme ISO/IEC 27001:2022 sur la sécurité de l'information reste une fondation utile : les contrôles d'accès, la gestion des incidents et la traçabilité y sont déjà décrits.

Pour la liste exhaustive des références officielles, consultez notre page sources.

8. Prévention et préparation

La période 2025-2026 constitue une fenêtre stratégique pour les PME. Engager la démarche maintenant permet d'absorber les coûts progressivement et de bénéficier des dispositifs d'accompagnement publics encore peu sollicités.

Feuille de route recommandée sur 12 mois

Mois 1-2 : Cartographie — inventorier l'ensemble des systèmes IA utilisés, qu'ils soient internes, achetés ou intégrés via SaaS
Mois 3-4 : Classification — déterminer la catégorie de risque de chaque système selon les Annexes I et III du Règlement
Mois 5-6 : Analyse d'impact — réaliser la FRIA pour les systèmes haut risque (Art. 27)
Mois 7-8 : Documentation — produire les registres, procédures et instructions exigés
Mois 9-10 : Gouvernance — désigner les responsables, formaliser la supervision humaine (Art. 14)
Mois 11 : Formation — déployer la culture IA conformément à l'Art. 4
Mois 12 : Audit interne — vérifier la complétude avant l'échéance d'août 2026

La désignation d'un référent IA interne, qu'il s'agisse du DPO existant ou d'une fonction dédiée, est un signal fort attendu par les autorités. Cette désignation n'est pas formellement obligatoire pour tous les déployeurs PME, mais elle constitue une bonne pratique de gouvernance.

L'enregistrement dans la base de données UE prévu à l'Art. 71 concerne les systèmes haut risque listés à l'Annexe III. Les déployeurs publics et certains déployeurs privés sont concernés. Vérifiez votre situation exacte au regard de l'Art. 49.

FAQ — Questions fréquentes des dirigeants de PME

Quel est le délai pour répondre aux demandes de la CNIL ?

Les délais varient selon la procédure engagée. Pour une demande dans le cadre du mécanisme de coopération transfrontalière du RGPD, l'Article 60 organise les échanges entre autorités. Les délais pratiques notifiés à l'entreprise concernée figurent dans le courrier de la CNIL, généralement entre un et trois mois selon la complexité. Documentez toutes vos réponses et conservez les preuves d'envoi.

Quels sont les facteurs déterminants pour le montant des amendes ?

L'Art. 99 §7 du Règlement (UE) 2024/1689 liste sept catégories de facteurs : nature et gravité de l'infraction, durée, intentionnalité, mesures correctives prises, niveau de coopération, taille de l'opérateur, antécédents éventuels. La CNIL applique également les lignes directrices 04/2022 du CEPD pour le calcul des amendes en lien avec le RGPD.

Dois-je m'inscrire au registre de l'AI Act si je suis PME ?

L'enregistrement dans la base de données UE prévue à l'Art. 71 du Règlement (UE) 2024/1689 concerne les systèmes d'IA à haut risque listés à l'Annexe III. Tous les fournisseurs concernés doivent s'enregistrer. Les déployeurs concernés sont principalement les autorités publiques et certains déployeurs privés selon les conditions de l'Art. 49. Vérifiez votre situation précise au regard de votre catégorie d'opérateur.

Quelles sont les sanctions pour les dirigeants en cas de non-conformité ?

L'AI Act lui-même ne prévoit pas de sanctions pénales personnelles : il renvoie au droit national. En France, les articles 226-16 et suivants du Code pénal, combinés à la loi n°78-17 du 6 janvier 1978, prévoient des peines pouvant atteindre 5 ans d'emprisonnement et 300 000 € d'amende pour les personnes physiques en cas de traitement illicite de données personnelles. La responsabilité de la personne morale s'ajoute (Art. 121-2 Code pénal).

Existe-t-il des aides pour les PME pour se conformer ?

Oui. La CNIL publie des fiches pratiques gratuites sur son site. L'AI Act Service Desk de la Commission européenne offre un guichet de questions-réponses. Les bacs à sable réglementaires prévus par les Art. 57 à 62 du Règlement (UE) 2024/1689 sont accessibles en priorité aux PME. Bpifrance et certaines régions proposent des dispositifs d'accompagnement variables selon les périodes [à vérifier selon votre région].

Sources officielles

Règlement (UE) 2024/1689 — texte consolidé : eur-lex.europa.eu/eli/reg/2024/1689
Texte annoté et navigable : artificialintelligenceact.eu
AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
CNIL — Fiches pratiques IA : cnil.fr/fr/intelligence-artificielle
ISO/IEC 42001:2023 : norme officielle disponible sur iso.org
ISO/IEC 23894:2023 : gestion des risques liés à l'IA
ISO/IEC 27001:2022 : sécurité de l'information
Loi n°78-17 du 6 janvier 1978 modifiée : legifrance.gouv.fr
Lignes directrices 04/2022 du CEPD : edpb.europa.eu

Pour aller plus loin, consultez nos ressources internes :

Avertissement Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Sanctions CNIL AI Act 2026 : quelles sont les attendues pour les PME françaises ?